Salut zusammen,

ich habe den PAM Administrators Guide gelsen und hoffe das ich das Wissen auch praktisch umsetzen kann :)

ich würde Euch bitten mir in texform ein paar praktische Aufgaben zu PAM zu sttellen. Ich werde diese dann Lösen.

danke

greez
adme

hallo!

darauf warte ich schon lange. :D

ich will, dass ein bestimmtes programm gestartet wird, wenn ein benutzer auf tty* ein falsches passwort eintippt.

//richard

Original geschrieben von adme

ich würde Euch bitten mir in texform ein paar praktische Aufgaben zu PAM zu sttellen. Ich werde diese dann Lösen.

masochistisch verlanlagt? :ugly:

greets, Nik

1) nach dem der user sein passwort x mal falsch eingetippt hat hintereinander soll der account gelockt werden :confused:
wenn er sich erfolgreich eingelogged hat, dann soll der counter wieder auf 0 zurück gesetzt werden

2) nach der xten (z.b. 2ten) falscheingabe des passworts soll ein delay von y sekunden stattfinden, bis der user wieder das passwort eingeben kann

Original geschrieben von Bauchi
1) nach dem der user sein passwort x mal falsch eingetippt hat hintereinander soll der account gelockt werden :confused:
wenn er sich erfolgreich eingelogged hat, dann soll der counter wieder auf 0 zurück gesetzt werden

2) nach der xten (z.b. 2ten) falscheingabe des passworts soll ein delay von y sekunden stattfinden, bis der user wieder das passwort eingeben kann
Das hätte ich auch gern :D

was wurde eigentlich aus..... ???

wie stehts denn nun?
mich interessiert eigentlich vielmehr der einsatz der parameter

auth
password
account
session

arbeite schon eine weile mit pam und kenne das prinzip, nur ist mir noch nicht 100% der sinn dieser 4 typen bekannt geworden

man(n) könnte ja auch mal googlen, jaja ;)

greez

Original geschrieben von Bauchi
1) nach dem der user sein passwort x mal falsch eingetippt hat hintereinander soll der account gelockt werden :confused:
wenn er sich erfolgreich eingelogged hat, dann soll der counter wieder auf 0 zurück gesetzt werden

2) nach der xten (z.b. 2ten) falscheingabe des passworts soll ein delay von y sekunden stattfinden, bis der user wieder das passwort eingeben kann

Ist das denn sinnvoll? Da könnte ich ja, sobald ich den usernamen von jemanden weiss, seinen account beliebig oft einfach sperren lassen ;)

Gruß,

Ace

Original geschrieben von AceTheFace
Ist das denn sinnvoll? Da könnte ich ja, sobald ich den usernamen von jemanden weiss, seinen account beliebig oft einfach sperren lassen ;)

Gruß,

Ace ^

Na und? Dann spricht man mal öfters mit seinem Admin und erhöht so die innerbetriebliche Kommunikation :D

Ihr seid doch alle krank :D

thermoman

Original geschrieben von derRichard
hallo!

ich will, dass ein bestimmtes programm gestartet wird, wenn ein benutzer auf tty* ein falsches passwort eintippt.

//richard

ich benötige auch so etwas. aber nicht nur für tty* sondern auch für pts/* (sprich fuer logins ueber ssh)

danke!!

mfg
sais

Original geschrieben von adme
ich würde Euch bitten mir in texform ein paar praktische Aufgaben zu PAM zu sttellen. Ich werde diese dann Lösen.

OK, here we go:

Jeder User auf dem System soll sein login/ssh Passwort auch für folgende Dienste haben:
apache2 (htaccess)
mysql4
teamspeak2
subversion
Wenn er es an einer Stelle ändert, soll das also Systemweit übernommen werden.

Fröhliches Schaffen; ich hab den Guide auch gelesen und das nicht hinbekommen.

@seeks

ich glaube eine solche single-sign-on lösung ist am besten via ldap realisierbar

sind denn all diese anwendungen von dir pam-aware?
dann könntest du sie gegen das userPassword im ldap (shadow/passwd des jeweiligen users) laufen lassen und bei erfolg den status sufficient zurückgeben

greez

oah krass; pam ist ja schon eine Nummer für sich und jetzt kommt noch ldap daher...
Kann pam das den nicht? Ich denke pam ist dafür gedacht, dass alles auf den gleichen Login-Mechanismus zurückgreift...

und die Programme:
apache kann pam, da gibts 2 mods für, nur eins ist besser als das andere dokumentiert: da ist nichtmal ersichtlich wie man htaccess mit pam macht *g*
mysql hat auch ein pam-plugin, subversion läuft über apache und teamspeak ist nich so wichtig; es soll ja ne Methode geben das über mysql laufen zu lassen...

Kann pam das den nicht?

was kann es nicht?
ldap funktionalitäten bieten?
hat damit rein gar nix zu tun - bietet nur eine möglichkeit, um gegen ein ldap backend zu authentifizieren


Ich denke pam ist dafür gedacht, dass alles auf den gleichen Login-Mechanismus zurückgreift...

hm, auch, das kann man damit erreichen
es ist vielmehr dazu gedacht, verschiedene applikationen in ihrer art der authentifizierung, password-, session- und account management-funktionalität zu beeinflussen - ja fast zu abstrahieren

desweiteren gehen die möglichkeiten weit über authentifizierung hinaus
passwort-checks, verzeichniserstellung, loging, ... alles ist mit pam möglich

greez